JP2020068506A - Electronic control device, electronic control system, and program - Google Patents
Electronic control device, electronic control system, and program Download PDFInfo
- Publication number
- JP2020068506A JP2020068506A JP2018201906A JP2018201906A JP2020068506A JP 2020068506 A JP2020068506 A JP 2020068506A JP 2018201906 A JP2018201906 A JP 2018201906A JP 2018201906 A JP2018201906 A JP 2018201906A JP 2020068506 A JP2020068506 A JP 2020068506A
- Authority
- JP
- Japan
- Prior art keywords
- sensor
- network
- abnormality
- data
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本開示は、電子制御装置、電子制御システム及びプログラムに関する。 The present disclosure relates to an electronic control device, an electronic control system and a program.
近年、車両の加減速、操舵及び制動等の運転操作を自動で行う自動運転システムが知られている。この自動運転システムは、車両の前方に存在する物体等を検知するセンサと、センサからのセンサデータに基づいて車両の運転操作を制御する電子制御ユニットとを備えている。センサ及び電子制御ユニットは、車載ネットワークを介して相互に接続されている。 2. Description of the Related Art In recent years, automatic driving systems are known that automatically perform driving operations such as acceleration / deceleration, steering, and braking of vehicles. This automatic driving system includes a sensor that detects an object existing in front of the vehicle, and an electronic control unit that controls a driving operation of the vehicle based on sensor data from the sensor. The sensor and the electronic control unit are connected to each other via an in-vehicle network.
例えばDos攻撃(Denial of Service attack)等のように、不正な外部装置からの大量のデータが電子制御ユニットに送り付けられる異常が発生した場合には、センサデータの可用性が損ねられることにより、電子制御ユニットにおいて運転者の意図しない車両の運転操作が誘発されるおそれがある。そのため、上述した車載ネットワークの状態を監視するための監視装置が提案されている(例えば、特許文献1参照)。 For example, when an abnormal situation in which a large amount of data from an unauthorized external device is sent to the electronic control unit, such as a Dos attack (Denial of Service attack), the availability of the sensor data is impaired, and the electronic control is lost. There is a possibility that a driving operation of the vehicle which is not intended by the driver may be induced in the unit. Therefore, a monitoring device for monitoring the state of the in-vehicle network described above has been proposed (for example, see Patent Document 1).
しかしながら、上述した従来の監視装置では、センサへの攻撃に対するセキュリティ対策が十分とは言えないという課題が生じる。 However, the above-described conventional monitoring device has a problem that security measures against attacks on the sensor cannot be said to be sufficient.
そこで、本開示は、センサへの攻撃に対するセキュリティ対策をより高めることができる電子制御装置、電子制御システム及びプログラムを提供する。 Therefore, the present disclosure provides an electronic control device, an electronic control system, and a program that can further enhance security measures against attacks on sensors.
本開示の一態様に係る電子制御装置は、センサが接続された第1のネットワークと接続され、且つ、制御対象が接続された第2のネットワークと接続される電子制御装置であって、前記センサからのセンサデータを前記第1のネットワークを介して受信し、前記センサデータに基づいて生成され且つ前記制御対象を制御するための制御データを前記第2のネットワークを介して受信する通信部と、前記第1のネットワークに関する異常を検知する検知部と、前記検知部が前記第1のネットワークに関する異常を検知した状態で、前記通信部が前記制御データを受信した場合に、受信された当該制御データが異常であるか否かを判定する判定部と、を備える。 An electronic control device according to an aspect of the present disclosure is an electronic control device that is connected to a first network to which a sensor is connected and is connected to a second network to which a control target is connected. A communication unit that receives sensor data from the first network via the first network, and receives control data generated based on the sensor data and for controlling the controlled object via the second network; A detection unit that detects an abnormality related to the first network, and the control data received when the communication unit receives the control data in a state where the detection unit detects an abnormality related to the first network. And a determination unit that determines whether or not is abnormal.
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD−ROM(Compact Disc−Read Only Memory)等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。 Note that these comprehensive or specific aspects may be realized by a recording medium such as a system, a method, an integrated circuit, a computer program, or a computer-readable CD-ROM (Compact Disc-Read Only Memory). It may be realized by any combination of the system, the method, the integrated circuit, the computer program, and the recording medium.
本開示の一態様に係る電子制御装置等によれば、センサへの攻撃に対するセキュリティ対策をより高めることができる。 According to the electronic control device and the like according to one aspect of the present disclosure, it is possible to further enhance security measures against attacks on the sensor.
本開示の一態様に係る電子制御装置は、センサが接続された第1のネットワークと接続され、且つ、制御対象が接続された第2のネットワークと接続される電子制御装置であって、前記センサからのセンサデータを前記第1のネットワークを介して受信し、前記センサデータに基づいて生成され且つ前記制御対象を制御するための制御データを前記第2のネットワークを介して受信する通信部と、前記第1のネットワークに関する異常を検知する検知部と、前記検知部が前記第1のネットワークに関する異常を検知した状態で、前記通信部が前記制御データを受信した場合に、受信された当該制御データが異常であるか否かを判定する判定部と、を備える。 An electronic control device according to an aspect of the present disclosure is an electronic control device that is connected to a first network to which a sensor is connected and is connected to a second network to which a control target is connected. A communication unit that receives sensor data from the first network via the first network, and receives control data generated based on the sensor data and for controlling the controlled object via the second network; A detection unit that detects an abnormality related to the first network, and the control data received when the communication unit receives the control data in a state where the detection unit detects an abnormality related to the first network. And a determination unit that determines whether or not is abnormal.
本態様によれば、例えばセンサが外部からの攻撃を受けることにより、センサデータの改ざん又はセンサデータのなりすまし等が発生した場合には、制御データによる制御対象の誤制御が引き起こされる可能性が高い。そのため、検知部が第1のネットワークに関する異常を検知した状態で、通信部が制御データを受信した場合に、判定部は当該制御データの異常の有無を判定する。これにより、例えばセンサが外部からの攻撃を受けた場合であっても、制御データの異常の有無を判定することにより、制御データによる制御対象の誤制御が引き起こされるのを抑制することができる。その結果、センサへの攻撃に対するセキュリティ対策をより高めることができる。 According to this aspect, when the sensor data is falsified or the sensor data is spoofed due to an external attack on the sensor, for example, there is a high possibility that erroneous control of the control target by the control data is caused. . Therefore, when the communication unit receives the control data in a state where the detection unit detects the abnormality related to the first network, the determination unit determines whether the control data is abnormal. Thus, for example, even when the sensor is attacked from the outside, it is possible to suppress the erroneous control of the control target due to the control data by determining whether or not the control data is abnormal. As a result, security measures against attacks on the sensor can be further enhanced.
例えば、前記検知部は、前記第1のネットワークに関する異常を検知した際に、受信された前記センサデータの送信元である前記センサを異常発生元センサとして特定し、前記判定部は、前記検知部による特定結果に基づいて、受信された前記制御データが異常であるか否かを判定するように構成してもよい。 For example, when the detection unit detects an abnormality related to the first network, the detection unit identifies the sensor that is the transmission source of the received sensor data as an abnormality generation source sensor, and the determination unit sets the detection unit to the detection unit. It may be configured to determine whether or not the received control data is abnormal, based on the identification result of.
本態様によれば、検知部による異常発生元センサの特定結果を用いることにより、受信された制御データが異常であるか否かを精度良く判定することができる。 According to this aspect, it is possible to accurately determine whether or not the received control data is abnormal by using the identification result of the abnormality generation source sensor by the detection unit.
例えば、前記判定部は、受信された前記制御データが前記異常発生元センサからの前記センサデータに基づいて生成された場合には、当該制御データは異常であると判定し、受信された前記制御データが前記異常発生元センサ以外の他の前記センサからの前記センサデータに基づいて生成された場合には、当該制御データは異常ではないと判定するように構成してもよい。 For example, when the received control data is generated based on the sensor data from the abnormality source sensor, the determination unit determines that the control data is abnormal, and the received control data When the data is generated based on the sensor data from the sensor other than the abnormality source sensor, the control data may be determined not to be abnormal.
本態様によれば、受信された制御データが異常であるか否かを精度良く判定することができる。 According to this aspect, it is possible to accurately determine whether or not the received control data is abnormal.
例えば、前記判定部は、さらに、受信された前記制御データが異常であると判定した場合には、当該制御データによる前記制御対象の制御を継続不可であると判定し、受信された前記制御データが異常ではないと判定した場合には、当該制御データによる前記制御対象の制御を継続可能であると判定するように構成してもよい。 For example, when the determination unit further determines that the received control data is abnormal, it determines that the control of the control target by the control data cannot be continued, and the received control data When it is determined that is not abnormal, it may be configured to determine that the control of the control target by the control data can be continued.
本態様によれば、判定部は、受信された制御データが異常ではないと判定した場合には、当該制御データによる制御対象の制御を継続可能であると判定する。これにより、制御対象の制御を無駄に停止させることを回避することができる。 According to this aspect, when the determination unit determines that the received control data is not abnormal, it determines that the control of the control target by the control data can be continued. As a result, it is possible to avoid needlessly stopping the control of the controlled object.
例えば、前記判定部は、さらに、前記検知部による検知結果に基づいて、受信された前記制御データによる前記制御対象の制御を継続可能であるか否かを判定するように構成してもよい。 For example, the determination unit may be configured to further determine whether or not the control of the control target by the received control data can be continued based on the detection result by the detection unit.
本態様によれば、制御対象の制御を無駄に停止させることを回避することができる。 According to this aspect, it is possible to avoid wastefully stopping the control of the control target.
例えば、前記電子制御装置は、さらに、受信された前記制御データが異常であると判定された場合に、前記制御データの異常を外部に通知する通知部を備えるように構成してもよい。 For example, the electronic control device may further include a notifying unit that notifies the outside of the abnormality of the control data when it is determined that the received control data is abnormal.
本態様によれば、通知部は制御データの異常を外部に通知するので、制御データの異常に対する適切な処置を行うことができる。 According to this aspect, since the notifying unit notifies the control data abnormality to the outside, it is possible to take appropriate measures against the control data abnormality.
例えば、前記検知部は、前記第1のネットワークに関する異常として、前記センサのネットワークアドレスが変更されたことを検知するように構成してもよい。 For example, the detection unit may be configured to detect that the network address of the sensor has been changed as the abnormality related to the first network.
本態様によれば、センサへの攻撃として、センサのネットワークアドレスが変更された場合におけるセキュリティ対策をより高めることができる。 According to this aspect, as an attack on the sensor, it is possible to further enhance security measures when the network address of the sensor is changed.
例えば、前記検知部は、前記第1のネットワークに関する異常として、前記センサデータの単位時間あたりの通信量が閾値を超えたことを検知するように構成してもよい。 For example, the detection unit may be configured to detect that the communication amount of the sensor data per unit time exceeds a threshold as the abnormality related to the first network.
本態様によれば、センサへの攻撃として、センサデータの単位時間あたりの通信量が閾値を超えた場合におけるセキュリティ対策をより高めることができる。 According to this aspect, as an attack on the sensor, it is possible to further enhance security measures when the communication amount of sensor data per unit time exceeds a threshold value.
例えば、前記検知部は、前記第1のネットワークに関する異常として、前記センサデータが改ざんされたことを検知するように構成してもよい。 For example, the detection unit may be configured to detect that the sensor data has been tampered with as the abnormality related to the first network.
本態様によれば、センサへの攻撃として、センサデータが改ざんされた場合におけるセキュリティ対策をより高めることができる。 According to this aspect, it is possible to further enhance the security measures when the sensor data is tampered with as an attack on the sensor.
例えば、前記検知部は、前記第1のネットワークに関する異常として、前記センサデータにより示されるセンサ情報の振る舞いが異常であることを検知するように構成してもよい。 For example, the detection unit may be configured to detect that the behavior of the sensor information indicated by the sensor data is abnormal, as the abnormality related to the first network.
本態様によれば、センサへの攻撃として、センサ情報の振る舞いが異常である場合におけるセキュリティ対策をより高めることができる。 According to this aspect, as an attack on the sensor, it is possible to further enhance security measures when the behavior of the sensor information is abnormal.
例えば、前記第1のネットワークは、前記第2のネットワークよりも高速で通信可能であるように構成してもよい。 For example, the first network may be configured to be able to communicate at a higher speed than the second network.
例えば、前記第1のネットワークは、イーサネット(登録商標)又はフレックスレイ(登録商標)であり、前記第2のネットワークは、CAN(Controller Area Network)であるように構成してもよい。 For example, the first network may be Ethernet (registered trademark) or FlexRay (registered trademark), and the second network may be CAN (Controller Area Network).
本開示の一態様に係る電子制御システムは、センサと接続された第1のネットワークと、制御対象と接続された第2のネットワークと、前記第1のネットワーク及び前記第2のネットワークと接続された電子制御装置と、を備え、前記電子制御装置は、前記センサからのセンサデータを前記第1のネットワークを介して受信し、前記センサデータに基づいて生成され且つ前記制御対象を制御するための制御データを前記第2のネットワークを介して受信する通信部と、前記第1のネットワークに関する異常を検知する検知部と、前記検知部が前記第1のネットワークに関する異常を検知した状態で、前記通信部が前記制御データを受信した場合に、受信された当該制御データが異常であるか否かを判定する判定部と、を有する。 An electronic control system according to an aspect of the present disclosure includes a first network connected to a sensor, a second network connected to a control target, the first network and the second network. An electronic control unit, wherein the electronic control unit receives sensor data from the sensor via the first network, generates control based on the sensor data, and controls the control target. A communication unit that receives data via the second network, a detection unit that detects an abnormality related to the first network, and the communication unit in a state where the detection unit detects an abnormality related to the first network. When the control data is received, a determination unit that determines whether or not the received control data is abnormal.
本態様によれば、例えばセンサが外部からの攻撃を受けることにより、センサデータの改ざん又はセンサデータのなりすまし等が発生した場合には、制御データによる制御対象の誤制御が引き起こされる可能性が高い。そのため、検知部が第1のネットワークに関する異常を検知した状態で、通信部が制御データを受信した場合に、判定部は当該制御データの異常の有無を判定する。これにより、例えばセンサが外部からの攻撃を受けた場合であっても、制御データの異常の有無を判定することにより、制御データによる制御対象の誤制御が引き起こされるのを抑制することができる。その結果、センサへの攻撃に対するセキュリティ対策をより高めることができる。 According to this aspect, when the sensor data is falsified or the sensor data is spoofed due to an external attack on the sensor, for example, there is a high possibility that erroneous control of the control target by the control data is caused. . Therefore, when the communication unit receives the control data in a state where the detection unit detects the abnormality related to the first network, the determination unit determines whether the control data is abnormal. Thus, for example, even when the sensor is attacked from the outside, it is possible to suppress the erroneous control of the control target due to the control data by determining whether or not the control data is abnormal. As a result, security measures against attacks on the sensor can be further enhanced.
本開示の一態様に係るプログラムは、センサからのセンサデータを、第1のネットワークを介して受信する処理と、前記センサデータに基づいて生成され且つ制御対象を制御するための制御データを、第2のネットワークを介して受信する処理と、前記第1のネットワークに関する異常を検知する処理と、前記第1のネットワークに関する異常を検知した状態で、前記制御データを受信した場合に、受信された当該制御データが異常であるか否かを判定する処理と、をコンピュータに実行させる。 A program according to an aspect of the present disclosure includes a process of receiving sensor data from a sensor via a first network, and control data generated based on the sensor data and for controlling a control target. The process of receiving via the second network, the process of detecting an abnormality related to the first network, and the process of receiving the control data in a state of detecting an abnormality related to the first network, A computer is made to perform the process which determines whether control data is abnormal.
本態様によれば、上述と同様に、センサへの攻撃に対するセキュリティ対策をより高めることができる。 According to this aspect, similarly to the above, it is possible to further enhance security measures against attacks on the sensor.
なお、これらの包括的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD−ROM等の記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。 Note that these comprehensive or specific aspects may be realized by a recording medium such as a system, a method, an integrated circuit, a computer program or a computer-readable CD-ROM, and the system, the method, the integrated circuit, the computer. It may be realized by any combination of programs or recording media.
以下、実施の形態について、図面を参照しながら具体的に説明する。 Hereinafter, embodiments will be specifically described with reference to the drawings.
なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序等は、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。 It should be noted that each of the embodiments described below shows a comprehensive or specific example. Numerical values, shapes, materials, components, arrangement positions and connection forms of components, steps, order of steps, and the like shown in the following embodiments are examples, and are not intended to limit the present disclosure. Further, among the constituent elements in the following embodiments, constituent elements that are not described in the independent claim showing the highest concept are described as arbitrary constituent elements.
(実施の形態1)
[1−1.通信システムの概要]
まず、図1を参照しながら、実施の形態1に係る通信システム2の概要について説明する。図1は、実施の形態1に係る通信システム2の概要を示すブロック図である。
(Embodiment 1)
[1-1. Communication system overview]
First, an outline of the
本実施の形態の通信システム2は、例えば自動車等の車両に搭載された、車両の運転操作を自動で行う自動運転システムである。なお、通信システム2は、電子制御システムの一例である。
The
図1に示すように、通信システム2は、レーザセンサ4と、ミリ波センサ6と、カメラセンサ8と、スイッチ10と、センサネットワーク12と、自動運転ECU(Electric Control Unit)14と、制御ネットワーク16と、異常検知ECU18と、駆動ECU20と、ステアリングECU22とを備えている。
As shown in FIG. 1, the
レーザセンサ4は、レーザを用いて、車両の周囲に存在する物体を検知するためのセンサであり、例えばLiDAR(Light Detection And Ranging)である。レーザセンサ4は、センサ情報を含むレーザセンサパケットを出力する。レーザセンサパケットに含まれるセンサ情報は、例えば、a)自車両と当該自車両の前方を走行している他車両との間の距離を示す距離情報、及び、b)自車両の走行速度と当該自車両の前方を走行している他車両の走行速度との相対速度を示す相対速度情報である。また、レーザセンサパケットは、送信元に関する情報としてレーザセンサ4のIP(Internet Protocol)アドレス、宛先に関する情報として自動運転ECU14及び異常検知ECU18の各IPアドレスを含んでいる。レーザセンサ4は、例えば500パケット/秒の通信レートで、センサネットワーク12を介して自動運転ECU14及び異常検知ECU18の各々にレーザセンサパケットを送信する。なお、レーザセンサ4はセンサの一例であり、レーザセンサパケットはセンサデータの一例である。
The laser sensor 4 is a sensor for detecting an object existing around the vehicle using a laser, and is, for example, a LiDAR (Light Detection And Ranging). The laser sensor 4 outputs a laser sensor packet including sensor information. The sensor information included in the laser sensor packet is, for example, a) distance information indicating a distance between the host vehicle and another vehicle traveling in front of the host vehicle, and b) traveling speed of the host vehicle and the relevant information. It is relative speed information indicating a relative speed to a traveling speed of another vehicle traveling in front of the host vehicle. Further, the laser sensor packet includes the IP (Internet Protocol) address of the laser sensor 4 as information regarding the transmission source, and the IP addresses of the
ミリ波センサ6は、ミリ波を用いて、車両の周囲に存在する物体を検知するためのセンサである。ミリ波センサ6は、センサ情報を含むミリ波センサパケットを出力する。ミリ波センサパケットに含まれるセンサ情報は、例えば、a)自車両と当該自車両の前方を走行している他車両との間の距離を示す距離情報、及び、b)自車両の走行速度と当該自車両の前方を走行している他車両の走行速度との相対速度を示す相対速度情報である。また、ミリ波センサパケットは、送信元に関する情報としてミリ波センサ6のIPアドレス、宛先に関する情報として自動運転ECU14及び異常検知ECU18の各IPアドレスを含んでいる。ミリ波センサ6は、例えば500パケット/秒の通信レートで、センサネットワーク12を介して自動運転ECU14及び異常検知ECU18の各々にミリ波センサパケットを送信する。なお、ミリ波センサ6はセンサの一例であり、ミリ波センサパケットはセンサデータの一例である。
The millimeter wave sensor 6 is a sensor for detecting an object existing around the vehicle using millimeter waves. The millimeter wave sensor 6 outputs a millimeter wave sensor packet including sensor information. The sensor information included in the millimeter wave sensor packet is, for example, a) distance information indicating a distance between the host vehicle and another vehicle traveling in front of the host vehicle, and b) traveling speed of the host vehicle. It is relative speed information indicating a relative speed to a traveling speed of another vehicle traveling in front of the subject vehicle. Further, the millimeter wave sensor packet includes the IP address of the millimeter wave sensor 6 as information regarding the transmission source, and the IP addresses of the
カメラセンサ8は、車両の周囲に存在する物体を撮像するためのセンサである。カメラセンサ8は、センサ情報を含むカメラセンサパケットを出力する。カメラセンサパケットに含まれるセンサ情報は、例えば、自車両の前方を走行している他車両等を撮像した画像を示す物体認識情報である。また、カメラセンサパケットは、送信元に関する情報としてカメラセンサ8のIPアドレス、宛先に関する情報として自動運転ECU14及び異常検知ECU18の各IPアドレスを含んでいる。カメラセンサ8は、例えば500パケット/秒の通信レートで、センサネットワーク12を介して自動運転ECU14及び異常検知ECU18の各々にカメラセンサパケットを送信する。なお、カメラセンサ8はセンサの一例であり、カメラセンサパケットはセンサデータの一例である。
The
スイッチ10は、レーザセンサ4、ミリ波センサ6及びカメラセンサ8と、自動運転ECU14及び異常検知ECU18とを相互に接続するためのゲートウェイである。スイッチ10は、センサネットワーク12に配置されている。
The
センサネットワーク12は、例えばイーサネット(登録商標)で構成されており、車両の内部に構築されている。なお、センサネットワーク12は、第1のネットワークの一例である。センサネットワーク12は、後述する制御ネットワーク16よりも、高速且つ大容量でセンサパケットを通信可能である。本実施の形態では、センサネットワーク12をイーサネット(登録商標)で構成したが、これに限定されず、例えばフレックスレイ(登録商標)等で構成してもよい。
The
自動運転ECU14は、先進運転者支援システム(ADAS:Advanced Driver Assistance System)における車両の自動運転操作を制御するための電子制御ユニットである。自動運転ECU14は、スイッチ10のモニタポートに接続されている。また、自動運転ECU14は、制御ネットワーク16を介して、異常検知ECU18、駆動ECU20及びステアリングECU22と接続されている。自動運転ECU14は、レーザセンサ4からのレーザセンサパケット、ミリ波センサ6からのミリ波センサパケット及びカメラセンサ8からのカメラセンサパケットに基づいて、駆動ECU20及びステアリングECU22を制御するための制御パケットを生成する。例えば、車両の前方に歩行者等が飛び出してきた場合には、自動運転ECU14は、レーザセンサパケット、ミリ波センサパケット及びカメラセンサパケットに基づいて、駆動ECU20(又はステアリングECU22)に対して車両を急制動(又は急操舵)するように指示するための制御パケットを生成する。自動運転ECU14は、生成した制御パケットを、制御ネットワーク16を介して異常検知ECU18、駆動ECU20及びステアリングECU22にブロードキャストで送信する。なお、制御パケットは、制御データの一例である。
The
制御ネットワーク16は、例えばCAN(Controller Area Network)で構成されており、車両の内部に構築されている。制御ネットワーク16は、CANプロトコルに従って通信するための複数のCANバスを有している。なお、制御ネットワーク16は、第2のネットワークの一例である。本実施の形態では、制御ネットワーク16をCANで構成したが、これに限定されず、例えばCAN−FD(CAN with Flexible Data Rate)等で構成してもよい。
The
異常検知ECU18は、センサネットワーク12に関する異常を検知した際に、自動運転ECU14から送信されてきた制御パケットが異常であるか否かを判定するための電子制御ユニットである。本明細書において、センサネットワーク12に関する異常とは、レーザセンサ4、ミリ波センサ6及びカメラセンサ8への外部からの攻撃により発生した異常を言う。異常検知ECU18は、スイッチ10のミラーポートに接続され、且つ、制御ネットワーク16を介して自動運転ECU14と接続されている。また、異常検知ECU18は、例えばインターネット又は専用回線等の外部ネットワーク24を介して、車両の外部に配置されたサーバ装置26と通信可能である。サーバ装置26は、通信システム2を管理するためのコンピュータである。なお、異常検知ECU18は、電子制御装置の一例である。異常検知ECU18の機能構成については後で詳述する。
The
駆動ECU20は、車両の加減速及び制動を制御するための電子制御ユニットである。具体的には、駆動ECU20は、自動運転ECU14からの制御パケットに基づいて、車両の車輪を駆動するための駆動用モータを制御する。例えば、車両の前方に歩行者等が飛び出してきた場合には、駆動ECU20は、自動運転ECU14からの制御パケットに基づいて、車両を急制動するように駆動用モータを制御する。なお、駆動ECU20は、制御対象の一例である。
The
ステアリングECU22は、車両の操舵を制御するための電子制御ユニットである。具体的には、ステアリングECU22は、自動運転ECU14からの制御パケットに基づいて、車両のステアリングホイールを回動させるためのステアリング用モータを制御する。例えば、車両の前方に歩行者等が飛び出してきた場合には、ステアリングECU22は、自動運転ECU14からの制御パケットに基づいて、車両を右方向(又は左方向)に急操舵するようにステアリング用モータを制御する。なお、ステアリングECU22は、制御対象の一例である。
The steering
なお、本実施の形態では、制御対象を駆動ECU20及びステアリングECU22で構成したが、これらに限定されず、例えば車両のシャシーを制御するためのシャシーECU等、各種のECUで構成してもよい。
In the present embodiment, the control target is configured by the
[1−2.異常検知ECUの機能構成]
次に、図1及び図2を参照しながら、異常検知ECU18の機能構成について説明する。図2は、実施の形態1に係る異常検知ECU18の機能構成を示すブロック図である。
[1-2. Functional configuration of abnormality detection ECU]
Next, the functional configuration of the
図2に示すように、異常検知ECU18は、通信部28と、検知部30と、判定部32と、通知部34とを有している。
As shown in FIG. 2, the
通信部28は、センサネットワーク12を介して、レーザセンサ4からのレーザセンサパケット、ミリ波センサ6からのミリ波センサパケット及びカメラセンサ8からのカメラセンサパケットを受信する。また、通信部28は、制御ネットワーク16を介して、自動運転ECU14からの制御パケットを受信する。さらに、通信部28は、通知部34からの異常通知信号(後述する)を、外部ネットワーク24を介してサーバ装置26に送信する。
The
検知部30は、受信されたレーザセンサパケット、ミリ波センサパケット及びカメラセンサパケットに基づいて、センサネットワーク12に関する異常を検知する。
The
判定部32は、検知部30がセンサネットワーク12に関する異常を検知した状態で、通信部28が自動運転ECU14からの制御パケットを受信した場合に、受信された当該制御パケットが異常であると判定する。
The
通知部34は、判定部32により制御パケットが異常であると判定された場合に、制御パケットの異常をサーバ装置26に通知するための異常通知信号を生成する。通知部34は、生成した異常通知信号を通信部28に出力する。すなわち、通知部34は、通信部28を介して、制御パケットの異常を外部のサーバ装置26に通知する。
When the
[1−3.異常検知ECUの動作]
次に、図3及び図4を参照しながら、車両の自動運転時における異常検知ECU18の動作について説明する。図3は、実施の形態1に係る異常検知ECU18の動作の流れを示すフローチャートである。図4は、図3のフローチャートのステップS102の内容を具体的に示すフローチャートである。
[1-3. Operation of abnormality detection ECU]
Next, the operation of the
図3に示すように、通信部28は、レーザセンサ4からのレーザセンサパケット、ミリ波センサ6からのミリ波センサパケット及びカメラセンサ8からのカメラセンサパケットを受信する(S101)。検知部30は、受信されたレーザセンサパケット、ミリ波センサパケット及びカメラセンサパケットに基づいて、センサネットワーク12に関する異常を検知する(S102)。ステップS102における具体的な処理については、後で詳述する。
As shown in FIG. 3, the
検知部30がセンサネットワーク12に関する異常を検知しない場合には(S103でNO)、通信部28は、サーバ装置26に異常通知信号を通知しない(S104)。車両の自動運転制御を終了する場合は(S105でYES)、処理を終了する。一方、車両の自動運転制御を継続する場合は(S105でNO)、上述したステップS101に戻る。
When the
ステップS103に戻り、検知部30がセンサネットワーク12に関する異常を検知した場合には(S103でYES)、判定部32は、通信部28が自動運転ECU14からの制御パケットを受信したか否かを判定する(S106)。なお、判定部32は、検知部30からの異常に関する情報(後述する)を受け取ることにより、検知部30がセンサネットワーク12に関する異常を検知したと判定することができる。
Returning to step S103, when the
通信部28が自動運転ECU14からの制御パケットを受信していない場合には(S106でNO)、上述したステップS104に進む。一方、通信部28が自動運転ECU14からの制御パケットを受信した場合には(S106でYES)、判定部32は、受信された当該制御パケットが異常であると判定する(S107)。
When the
この場合、通知部34は、異常通知信号を生成し、生成した異常通知信号を通信部28に出力する。通信部28は、通知部34からの異常通知信号をサーバ装置26に送信する(S108)。その後、上述したステップS105に進む。
In this case, the
なお、本実施の形態では、上述したステップS108において、通信部28は異常通知信号をサーバ装置26に送信するようにしたが、これに限定されず、例えば自動運転ECU14に異常通知信号を送信してもよい。これにより、例えば自動運転ECU14により車両の縮退制御を行うことができる。あるいは、通信部28は、車両のインストルメンタルパネルに異常通知信号を送信することにより、制御パケットの異常を車両の運転者に通知してもよい。これにより、運転者は、制御パケットの異常が発生したことを認識することができ、例えば車両の運転を自動運転から手動運転に切り替えるなどの適切な処置を行うことができる。
In the present embodiment, the
ここで、図4を参照しながら、図3のステップS102における処理について具体的に説明する。 Here, the process in step S102 of FIG. 3 will be specifically described with reference to FIG.
図4に示すように、検知部30は、まず、レーザセンサ4からのレーザセンサパケット、ミリ波センサ6からのミリ波センサパケット及びカメラセンサ8からのカメラセンサパケットのうち少なくとも1つについて、1秒あたりのパケット数が500を超えているか否かを検知する(S1021)。すなわち、検知部30は、レーザセンサ4からのレーザセンサパケット、ミリ波センサ6からのミリ波センサパケット及びカメラセンサ8からのカメラセンサパケットのいずれか1つの単位時間あたりの通信量が閾値(500パケット/秒)を超えているか否かを検知する。
As shown in FIG. 4, the
1秒あたりのパケット数が500を超えている場合には(S1021でYES)、検知部30は、センサネットワーク12に関する異常を検知し(S1022)、異常に関する情報を判定部32に出力する(S1023)。具体的には、検知部30は、異常に関する情報として、例えば、1秒あたりのパケット数が500を超えたセンサの種類(例えば「レーザセンサ」)、及び、検知された1秒あたりのパケット数(例えば「1000」)を判定部32に出力する。その後、上述した図3のステップS103のYESに進む。
When the number of packets per second exceeds 500 (YES in S1021), the
ステップS1021に戻り、1秒あたりのパケット数が500を超えていない場合には(S1021でNO)、検知部30は、レーザセンサ4からのレーザセンサパケット、ミリ波センサ6からのミリ波センサパケット及びカメラセンサ8からのカメラセンサパケットの合計について、1秒あたりの総パケット数が1500を超えているか否かを検知する(S1024)。
When the number of packets per second does not exceed 500 (NO in S1021), the
1秒あたりの総パケット数が1500を超えている場合には(S1024でYES)、検知部30は、センサネットワーク12に関する異常を検知し(S1022)、異常に関する情報を判定部32に出力する(S1023)。具体的には、検知部30は、異常に関する情報として、例えば、検知された1秒あたりの総パケット数(例えば「2000」)を判定部32に出力する。その後、上述した図3のステップS103のYESに進む。
When the total number of packets per second exceeds 1500 (YES in S1024), the
ステップS1024に戻り、1秒あたりの総パケット数が1500を超えていない場合には(S1024でNO)、検知部30は、レーザセンサ4、ミリ波センサ6及びカメラセンサ8のうち少なくとも1つのIPアドレスが変更されたか否かを検知する(S1025)。具体的には、検知部30は、異常検知ECU18のメモリ(図示せず)に予め記憶されているレーザセンサ4、ミリ波センサ6及びカメラセンサ8の各IPアドレスと、レーザセンサパケット、ミリ波センサパケット及びカメラセンサパケットに含まれる各送信元IPアドレスとを比較する。検知部30は、比較の結果、両者が異なる場合には、各センサパケットに含まれる送信元IPアドレスが変更されたと検知する。なお、IPアドレスは、ネットワークアドレスの一例である。
Returning to step S1024, when the total number of packets per second does not exceed 1500 (NO in S1024), the detecting
IPアドレスが変更された場合には(S1025でYES)、検知部30は、センサネットワーク12に関する異常を検知し(S1022)、異常に関する情報を判定部32に出力する(S1023)。具体的には、検知部30は、異常に関する情報として、例えば、IPアドレスが変更されたセンサの種類(例えば「カメラセンサ」)、及び、IPアドレスの変更ログを判定部32に出力する。その後、上述した図3のステップS103のYESに進む。
When the IP address is changed (YES in S1025), the
ステップS1025に戻り、IPアドレスが変更されていない場合には(S1025でNO)、検知部30は、レーザセンサパケット、ミリ波センサパケット及びカメラセンサパケットのうち少なくとも1つについて、当該センサパケットに含まれるセンサ情報の振る舞いが異常であるか否かを検知する(S1026)。センサ情報は、例えば上述した距離情報、相対速度情報及び物体認識情報である。センサ情報の振る舞いが異常である場合としては、例えば、a)車両の周囲に存在する物体の位置が想定よりも速く移動している場合、b)相対速度が所定値を超えている場合、及び、c)車両の周囲に物体が突然現れる場合等が考えられる。
Returning to step S1025, when the IP address has not been changed (NO in S1025), the
センサ情報の振る舞いが異常である場合には(S1026でYES)、検知部30は、センサネットワーク12に関する異常を検知し(S1022)、異常に関する情報を判定部32に出力する(S1023)。具体的には、検知部30は、異常に関する情報として、例えば、振る舞いの異常なセンサ情報を含むセンサの種類(例えば「カメラセンサ」)、及び、振る舞いの異常なセンサ情報(例えば「物体認識情報」)を判定部32に出力する。その後、上述した図3のステップS103のYESに進む。
When the behavior of the sensor information is abnormal (YES in S1026), the
ステップS1026に戻り、センサ情報の振る舞いが異常ではない場合には(S1026でNO)、検知部30は、レーザセンサパケット、ミリ波センサパケット及びカメラセンサパケットのうち少なくとも1つが既知の攻撃であるか否かを検知する(S1027)。センサパケットが既知の攻撃である場合としては、例えば、a)センサパケットの改ざんが検知された場合、及び、b)同じセンサから1センサパケット多く受信した(センサパケットのなりすまし)場合等が考えられる。
Returning to step S1026, if the behavior of the sensor information is not abnormal (NO in S1026), the
センサパケットが既知の攻撃である場合には(S1027でYES)、検知部30は、センサネットワーク12に関する異常を検知し(S1022)、異常に関する情報を判定部32に出力する(S1023)。具体的には、検知部30は、異常に関する情報として、例えば、既知の攻撃であるセンサパケットの送信元であるセンサの種類(例えば「ミリ波センサ」)、及び、センサパケットの攻撃の種類(例えば「センサパケット改ざん」又は「センサパケットのなりすまし」)を判定部32に出力する。その後、上述した図3のステップS103のYESに進む。
If the sensor packet is a known attack (YES in S1027), the
センサパケットが既知の攻撃ではない場合には(S1027でNO)、検知部30は、センサネットワーク12に関する異常を検知しない(S1028)。その後、上述した図3のステップS103のNOに進む。
When the sensor packet is not a known attack (NO in S1027), the
[1−4.効果]
例えばレーザセンサ4、ミリ波センサ6及びカメラセンサ8が外部からの攻撃を受けることにより、各センサパケットの改ざん又は各センサパケットのなりすまし等が発生した場合には、制御パケットによる駆動ECU20及びステアリングECU22の誤制御が引き起こされる可能性が高い。そのため、検知部30がセンサネットワーク12に関する異常を検知した状態で、通信部28が制御パケットを受信した場合に、判定部32は当該制御パケットの異常の有無を判定する。
[1-4. effect]
For example, when the laser sensor 4, the millimeter-wave sensor 6, and the
これにより、例えばレーザセンサ4、ミリ波センサ6及びカメラセンサ8が外部からの攻撃を受けた場合であっても、制御パケットの異常の有無を判定することにより、制御パケットによる駆動ECU20及びステアリングECU22の誤制御が引き起こされるのを抑制することができる。その結果、レーザセンサ4、ミリ波センサ6及びカメラセンサ8への攻撃に対するセキュリティ対策をより高めることができる。
Accordingly, even if the laser sensor 4, the millimeter wave sensor 6, and the
(実施の形態2)
[2−1.異常検知ECUの機能構成]
図2を参照しながら、実施の形態2に係る異常検知ECU18Aの機能構成について説明する。図2は、実施の形態2に係る異常検知ECU18Aの機能構成を示すブロック図である。なお、以下に示す各実施の形態において、上記実施の形態1と同一の構成要素には同一の符号を付して、その説明を省略する。
(Embodiment 2)
[2-1. Functional configuration of abnormality detection ECU]
The functional configuration of the abnormality detection ECU 18A according to the second embodiment will be described with reference to FIG. FIG. 2 is a block diagram showing a functional configuration of the abnormality detection ECU 18A according to the second embodiment. In addition, in each of the following embodiments, the same components as those in the first embodiment are designated by the same reference numerals, and the description thereof will be omitted.
図2に示すように、検知部30Aは、センサネットワーク12(図1参照)に関する異常を検知した際に、受信されたセンサパケット(レーザセンサパケット、ミリ波センサパケット及びカメラセンサパケット)の送信元であるセンサ(図1に示すレーザセンサ4、ミリ波センサ6及びカメラセンサ8)を異常発生元センサとして特定する。検知部30Aは、特定結果(例えば実施の形態1で説明した、異常に関する情報)を判定部32Aに出力する。
As illustrated in FIG. 2, the
判定部32Aは、検知部30Aによる特定結果に基づいて、受信された制御パケットが異常であるか否かを判定する。具体的には、判定部32Aは、受信された制御パケットが異常発生元センサからのセンサパケットに基づいて生成された場合には、当該制御パケットは異常であると判定するとともに、当該制御パケットによる自動運転制御(すなわち、図1に示す駆動ECU20及びステアリングECU22の制御)を継続不可であると判定する。例えば、異常発生元センサがレーザセンサ4であると特定された場合に、受信された制御パケットがレーザセンサ4からのレーザセンサパケットに基づいて生成された際には、判定部32Aは、当該制御パケットは異常であると判定するとともに、当該制御パケットによる自動運転制御を継続不可であると判定する。
The
一方、判定部32Aは、受信された制御パケットが異常発生元センサ以外の他のセンサからのセンサパケットに基づいて生成された場合には、当該制御パケットは異常ではないと判定するとともに、当該制御パケットによる自動運転制御を継続可能であると判定する。例えば、異常発生元センサがレーザセンサ4であると特定された場合に、受信された制御パケットがカメラセンサ8からのカメラセンサパケットに基づいて生成された際には、判定部32Aは、当該制御パケットは異常ではないと判定するとともに、当該制御パケットによる自動運転制御を継続可能であると判定する。
On the other hand, when the received control packet is generated based on the sensor packet from the sensor other than the abnormality source sensor, the
通知部34Aは、判定部32Aにより自動運転制御が継続不可であると判定された場合に、自動運転制御が継続不可であることを自動運転ECU14(図1参照)に通知するための継続不可通知信号を生成し、生成した継続不可通知信号を通信部28に出力する。また、通知部34Aは、判定部32Aにより自動運転制御が継続可能であると判定された場合に、自動運転制御が継続可能であることを自動運転ECU14に通知するための継続可能通知信号を生成し、生成した継続可能通知信号を通信部28に出力する。
The
[2−2.異常検知ECUの動作]
次に、図5を参照しながら、車両の自動運転時における異常検知ECU18Aの動作について説明する。図5は、実施の形態2に係る異常検知ECU18Aの動作の流れを示すフローチャートである。なお、図5のフローチャートにおいて、上述した図3のフローチャートの処理と同一の処理には同一のステップ番号を付して、その説明を省略する。
[2-2. Operation of abnormality detection ECU]
Next, the operation of the abnormality detection ECU 18A during automatic driving of the vehicle will be described with reference to FIG. FIG. 5 is a flowchart showing a flow of operations of the abnormality detection ECU 18A according to the second embodiment. In the flowchart of FIG. 5, the same processes as those of the flowchart of FIG. 3 described above are designated by the same step numbers, and description thereof will be omitted.
図5に示すように、上記実施の形態1と同様に、ステップS101〜S106が実行される。ステップS106において、通信部28が自動運転ECU14からの制御パケットを受信した場合には(S106でYES)、判定部32Aは、検知部30Aにより異常発生元センサが特定されたか否かを判定する(S201)。
As shown in FIG. 5, steps S101 to S106 are executed as in the first embodiment. In step S106, when the
検知部30Aにより異常発生元センサが特定されていない場合には(S201でNO)、判定部32Aは、受信された当該制御パケットが異常であると判定し(S202)、当該制御パケットによる自動運転制御を継続不可であると判定する(S203)。この場合、通知部34Aは、異常通知信号及び継続不可通知信号を生成し、生成した異常通知信号及び継続不可通知信号を通信部28に出力する。通信部28は、通知部34Aからの異常通知信号及び継続不可通知信号をそれぞれサーバ装置26(図1参照)及び自動運転ECU14に送信する(S204)。なお、自動運転ECU14は、異常検知ECU18Aからの継続不可通知信号に基づいて、車両の縮退制御を行ってもよい。その後、上述したステップS105に進む。
When the
ステップS201に戻り、検知部30Aにより異常発生元センサが特定されている場合には(S201でYES)、判定部32Aは、受信された制御パケットが異常発生元センサからのセンサパケットに基づいて生成されたか否かを判定する(S205)。
Returning to step S201, when the
受信された制御パケットが異常発生元センサからのセンサパケットに基づいて生成された場合には(S205でYES)、上述したステップS202に進む。この場合、通知部34Aは、継続不可通知信号に対して、異常発生元センサに関する情報を付加してもよい。これにより、自動運転ECU14は、異常発生元センサに関する情報を取得することができるので、異常発生元センサ以外の他のセンサからのセンサパケットにより生成された制御パケットによる自動運転制御を継続することができる。
When the received control packet is generated based on the sensor packet from the abnormality source sensor (YES in S205), the process proceeds to step S202 described above. In this case, the
一方、受信された制御パケットが異常発生元センサからのセンサパケットに基づいて生成されていない、換言すると、受信された制御パケットが異常発生元センサ以外の他のセンサからのセンサパケットに基づいて生成された場合には(S205でNO)、判定部32Aは、受信された当該制御パケットが異常ではないと判定し(S206)、当該制御パケットによる自動運転制御を継続可能であると判定する(S207)。この場合、通知部34Aは、継続可能通知信号を生成し、生成した継続可能通知信号を通信部28に出力する。通信部28は、通知部34Aからの継続可能通知信号を自動運転ECU14に送信する(S208)。なお、自動運転ECU14は、異常検知ECU18Aからの継続可能通知信号に基づいて、車両の自動運転制御を継続する。その後、上述したステップS105に進む。
On the other hand, the received control packet is not generated based on the sensor packet from the abnormality source sensor, in other words, the received control packet is generated based on the sensor packet from another sensor other than the abnormality source sensor. If it is (NO in S205), the
[2−3.効果]
上述したように、判定部32Aは、受信された制御パケットが異常発生元センサ以外の他のセンサからのセンサパケットに基づいて生成された場合には、当該制御パケットは異常ではないと判定するとともに、当該制御パケットによる自動運転制御を継続可能であると判定する。これにより、自動運転ECU14による自動運転制御を無駄に停止させることを回避することができる。
[2-3. effect]
As described above, when the received control packet is generated based on the sensor packet from the sensor other than the abnormality source sensor, the
(実施の形態3)
[3−1.異常検知ECUの機能構成]
図2を参照しながら、実施の形態3に係る異常検知ECU18Bの機能構成について説明する。図2は、実施の形態3に係る異常検知ECU18Bの機能構成を示すブロック図である。
(Embodiment 3)
[3-1. Functional configuration of abnormality detection ECU]
The functional configuration of the abnormality detection ECU 18B according to the third embodiment will be described with reference to FIG. FIG. 2 is a block diagram showing a functional configuration of the abnormality detection ECU 18B according to the third embodiment.
図2に示すように、判定部32Bは、検知部30による検知結果に基づいて、受信された制御パケットによる自動運転制御を継続可能であるか否かを判定する。判定部32Bは、制御パケットによる自動運転制御が継続不可であると判定した場合には、当該制御パケットは異常であると判定する。一方、判定部32Bは、制御パケットによる自動運転制御が継続可能であると判定した場合には、当該制御パケットは異常ではないと判定する。
As shown in FIG. 2, the
通知部34Bは、判定部32Bにより自動運転制御が継続不可であると判定された場合には、上記実施の形態2で説明した継続不可通知信号を生成し、生成した継続不可通知信号を通信部28に出力する。また、通知部34Bは、判定部32Bにより自動運転制御が継続可能であると判定された場合には、上記実施の形態2で説明した継続可能通知信号を生成しない。
When the
[3−2.異常検知ECUの動作]
次に、図6及び図7を参照しながら、車両の自動運転時における異常検知ECU18Bの動作について説明する。図6は、実施の形態3に係る異常検知ECU18Bの動作の流れを示すフローチャートである。図7は、図6のフローチャートのステップS301の内容を具体的に示すフローチャートである。なお、図6のフローチャートにおいて、上述した図3のフローチャートの処理と同一の処理には同一のステップ番号を付して、その説明を省略する。
[3-2. Operation of abnormality detection ECU]
Next, the operation of the abnormality detection ECU 18B during automatic driving of the vehicle will be described with reference to FIGS. 6 and 7. FIG. 6 is a flowchart showing a flow of operations of the abnormality detection ECU 18B according to the third embodiment. FIG. 7 is a flowchart specifically showing the contents of step S301 of the flowchart of FIG. In the flowchart of FIG. 6, the same process as the process of the flowchart of FIG. 3 described above is given the same step number, and the description thereof is omitted.
図6に示すように、上記実施の形態1と同様に、ステップS101〜S106が実行される。ステップS106において、通信部28が自動運転ECU14(図1参照)からの制御パケットを受信した場合には(S106でYES)、判定部32Bは、検知部30による検知結果に基づいて、受信された制御パケットによる自動運転制御が継続可能であるか否かを判定する(S301)。ステップS301における具体的な処理については、後で詳述する。
As shown in FIG. 6, steps S101 to S106 are executed as in the first embodiment. In step S106, when the
判定部32Bは、受信された制御パケットによる自動運転制御が継続可能であると判定した場合には(S302でYES)、受信された当該制御パケットが異常ではないと判定する(S303)。この場合、通知部34Bは、異常通知信号を生成し、生成した異常通知信号を通信部28に出力する。なお、この異常通知信号は、センサネットワーク12に関する異常をサーバ装置26(図1参照)に通知するための信号である。通信部28は、通知部34Bからの異常通知信号をサーバ装置26に送信する(S304)。その後、上述したステップS105に進む。
When it is determined that the automatic driving control by the received control packet can be continued (YES in S302), the
ステップS302に戻り、判定部32Bは、受信された制御パケットによる自動運転制御が継続不可であると判定した場合には(S302でNO)、受信された当該制御パケットが異常であると判定する(S305)。この場合、通知部34Bは、異常通知信号及び継続不可通知信号を生成し、生成した異常通知信号及び継続不可通知信号を通信部28に出力する。通信部28は、通知部34Bからの異常通知信号及び継続不可通知信号をそれぞれサーバ装置26及び自動運転ECU14に送信する(S306)。その後、上述したステップS105に進む。
Returning to step S302, when the
ここで、図7を参照しながら、図6のステップS301における処理について具体的に説明する。 Here, the process in step S301 of FIG. 6 will be specifically described with reference to FIG. 7.
図7に示すように、判定部32Bは、まず、レーザセンサ4、ミリ波センサ6及びカメラセンサ8(図1参照)のうち異常のあるセンサの数が1つであるか否かを判定する(S3011)。レーザセンサ4、ミリ波センサ6及びカメラセンサ8のうち異常のあるセンサの数が2つ以上である場合には(S3011でNO)、判定部32Bは、受信された制御パケットによる自動運転制御が継続不可であると判定し(S3012)、上述したステップS302のNOに進む。
As shown in FIG. 7, the
なお、ステップS3011において、上述した判断条件に代えて、レーザセンサ4(LiDAR)が異常である場合に、ステップS3011からステップS3012に進むようにしてもよい。 Note that in step S3011, instead of the above-described determination condition, if the laser sensor 4 (LiDAR) is abnormal, the process may proceed from step S3011 to step S3012.
ステップS3011に戻り、レーザセンサ4、ミリ波センサ6及びカメラセンサ8のうち異常のあるセンサの数が1つである場合には(S3011でYES)、判定部32Bは、異常のあるセンサ情報(距離情報、相対速度情報及び物体認識情報)が1種類であるか否かを判定する(S3013)。異常のあるセンサ情報が2種類以上である場合には(S3013でNO)、判定部32Bは、受信された制御パケットによる自動運転制御が継続不可であると判定し(S3012)、上述したステップS302のNOに進む。
Returning to step S3011, when the number of abnormal sensors among the laser sensor 4, the millimeter wave sensor 6, and the
なお、ステップS3013において、上述した判断条件に代えて、センサ情報のうち距離情報に異常がある場合に、ステップS3013からステップS3012に進むようにしてもよい。また、ステップS3013において、上述した判断条件に代えて、センサ情報のうち物体認識情報のみに異常がある場合に、ステップS3013からステップS3014に進むようにしてもよい。 Note that in step S3013, instead of the above-described determination condition, if the distance information in the sensor information is abnormal, the process may proceed from step S3013 to step S3012. Further, in step S3013, instead of the above-described determination condition, if only the object recognition information of the sensor information is abnormal, the process may proceed from step S3013 to step S3014.
ステップS3013に戻り、異常のあるセンサ情報が1種類である場合には(S3013でYES)、判定部32Bは、レーザセンサ4、ミリ波センサ6及びカメラセンサ8への攻撃が特定可能か否かを判定する(S3014)。攻撃が特定不可である場合には(S3014でNO)、判定部32Bは、受信された制御パケットによる自動運転制御が継続不可であると判定し(S3012)、上述したステップS302のNOに進む。なお、攻撃が特定不可である場合としては、例えば、センサパケットのなりすまし、及び、センサパケット数の超過によるサービス拒否攻撃等が考えられる。
Returning to step S3013, if there is only one type of abnormal sensor information (YES in S3013), the
ステップS3014に戻り、攻撃が特定可能である場合には(S3014でYES)、判定部32Bは、受信された制御パケットによる自動運転制御が継続可能であると判定し(S3015)、上述したステップS302のYESに進む。なお、攻撃が特定可能である場合としては、例えば、センサパケットの改ざんが検知された場合等が考えられる。
Returning to step S3014, when the attack can be identified (YES in S3014), the
[3−3.効果]
上述したように、判定部32Bは、検知部30による検知結果に基づいて、受信された制御パケットによる自動運転制御を継続可能であるか否かを判定する。これにより、自動運転ECU14による自動運転制御を無駄に停止させることを回避することができる。
[3-3. effect]
As described above, the
(他の変形例)
以上、一つ又は複数の態様に係る電子制御装置及び電子制御システムについて、上記各実施の形態に基づいて説明したが、本開示は、上記各実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思い付く各種変形を上記各実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つ又は複数の態様の範囲内に含まれてもよい。
(Other modifications)
Although the electronic control device and the electronic control system according to one or more aspects have been described above based on the above-described embodiments, the present disclosure is not limited to the above-described embodiments. Unless departing from the gist of the present disclosure, various modifications made by those skilled in the art are applied to each of the above-described embodiments, and a configuration in which components in different embodiments are combined is also included in one or more aspects. It may be included in the range.
上記各実施の形態では、電子制御装置を車両の自動運転システムに搭載された異常検知ECU18,18A,18Bに適用したが、これに限定されず、例えば任意のシステムに搭載されたECU等に適用してもよい。
In each of the above embodiments, the electronic control unit is applied to the
上記各実施の形態では、本開示に係る異常検知ECU18,18A,18Bの適用例として、車両(自動車等)に搭載される車載ネットワークにおけるセキュリティ対策への適用について説明したが、本開示に係る異常検知ECU18,18A,18Bの適用範囲はこれに限定されない。本開示に係る異常検知ECU18,18A,18Bは、自動車等の車両に限定されず、例えば、建機、農機、船舶、鉄道又は飛行機等の任意のモビリティに適用してもよい。
In each of the above-described embodiments, as an application example of the
上記各実施の形態では、異常検知ECU18,18A,18Bがセンサネットワーク12に関する異常を検知したが、これに限定されず、例えばスイッチ10がセンサネットワーク12に関する異常を検知してもよい。この場合、異常検知ECU18,18A,18B及びスイッチ10が電子制御装置を構成するようになる。
In each of the above-described embodiments, the
上記各実施の形態では、自動運転ECU14と異常検知ECU18,18A,18Bとを別々の構成としたが、これに限定されず、例えば自動運転ECU14が異常検知ECU18,18A,18Bの機能を有していてもよい。
In each of the above embodiments, the
なお、上記実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPU又はプロセッサ等のプログラム実行部が、ハードディスク又は半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。 In addition, in the above-described embodiment, each component may be configured by dedicated hardware, or may be realized by executing a software program suitable for each component. Each component may be realized by a program execution unit such as a CPU or a processor reading and executing a software program recorded in a recording medium such as a hard disk or a semiconductor memory.
また、上記実施の形態に係る電子制御装置の機能の一部又は全てを、CPU等のプロセッサがプログラムを実行することにより実現してもよい。 Further, some or all of the functions of the electronic control device according to the above-described embodiment may be realized by a processor such as a CPU executing a program.
上記の各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。 Some or all of the constituent elements of each of the above devices may be configured with an IC card that can be attached to and detached from each device or a single module. The IC card or the module is a computer system including a microprocessor, ROM, RAM and the like. The IC card or the module may include the above super-multifunctional LSI. The IC card or the module achieves its function by the microprocessor operating according to the computer program. This IC card or this module may be tamper resistant.
本開示は、上記に示す方法であるとしても良い。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えばフレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu−ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本開示は、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしても良い。また、前記プログラム又は前記デジタル信号を前記記録媒体に記録して移送することにより、又は前記プログラム又は前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。 The present disclosure may be the method shown above. Further, it may be a computer program that realizes these methods by a computer, or may be a digital signal including the computer program. The present disclosure also discloses a computer-readable recording medium such as a flexible disk, a hard disk, a CD-ROM, a MO, a DVD, a DVD-ROM, a DVD-RAM, or a BD (Blu-ray (registered). It may be recorded in a trademark) Disc), a semiconductor memory, or the like. Further, the digital signal recorded on these recording media may be used. In addition, the present disclosure may transmit the computer program or the digital signal via an electric communication line, a wireless or wired communication line, a network represented by the Internet, a data broadcast, or the like. Further, the present disclosure may be a computer system including a microprocessor and a memory, the memory stores the computer program, and the microprocessor may operate according to the computer program. In addition, the program or the digital signal is recorded on the recording medium and transferred, or the program or the digital signal is transferred via the network or the like, thereby being implemented by another independent computer system. Also good.
本開示に係る電子制御装置は、例えば自動運転システムに搭載されたECU等に適用可能である。 The electronic control device according to the present disclosure can be applied to, for example, an ECU mounted in an automatic driving system.
2 通信システム
4 レーザセンサ
6 ミリ波センサ
8 カメラセンサ
10 スイッチ
12 センサネットワーク
14 自動運転ECU
16 制御ネットワーク
18,18A,18B 異常検知ECU
20 駆動ECU
22 ステアリングECU
24 外部ネットワーク
26 サーバ装置
28 通信部
30,30A 検知部
32,32A,32B 判定部
34,34A,34B 通知部
2 Communication system 4 Laser sensor 6
16
20 Drive ECU
22 Steering ECU
24
Claims (14)
前記センサからのセンサデータを前記第1のネットワークを介して受信し、前記センサデータに基づいて生成され且つ前記制御対象を制御するための制御データを前記第2のネットワークを介して受信する通信部と、
前記第1のネットワークに関する異常を検知する検知部と、
前記検知部が前記第1のネットワークに関する異常を検知した状態で、前記通信部が前記制御データを受信した場合に、受信された当該制御データが異常であるか否かを判定する判定部と、
を備える電子制御装置。 An electronic control device connected to a first network to which a sensor is connected, and to a second network to which a control target is connected,
A communication unit that receives sensor data from the sensor via the first network, and receives control data for controlling the controlled object, which is generated based on the sensor data, via the second network. When,
A detection unit that detects an abnormality related to the first network;
A determination unit that determines whether or not the received control data is abnormal when the communication unit receives the control data in a state in which the detection unit detects an abnormality related to the first network,
An electronic control device including.
前記判定部は、前記検知部による特定結果に基づいて、受信された前記制御データが異常であるか否かを判定する、
請求項1に記載の電子制御装置。 The detection unit, when detecting an abnormality related to the first network, identifies the sensor that is the transmission source of the received sensor data as an abnormality generation source sensor,
The determination unit determines whether or not the received control data is abnormal based on the identification result by the detection unit,
The electronic control device according to claim 1.
受信された前記制御データが前記異常発生元センサからの前記センサデータに基づいて生成された場合には、当該制御データは異常であると判定し、
受信された前記制御データが前記異常発生元センサ以外の他の前記センサからの前記センサデータに基づいて生成された場合には、当該制御データは異常ではないと判定する、
請求項2に記載の電子制御装置。 The determination unit,
When the received control data is generated based on the sensor data from the abnormality source sensor, it is determined that the control data is abnormal,
When the received control data is generated based on the sensor data from the sensor other than the abnormality source sensor, it is determined that the control data is not abnormal,
The electronic control device according to claim 2.
受信された前記制御データが異常であると判定した場合には、当該制御データによる前記制御対象の制御を継続不可であると判定し、
受信された前記制御データが異常ではないと判定した場合には、当該制御データによる前記制御対象の制御を継続可能であると判定する、
請求項3に記載の電子制御装置。 The determination unit further includes
When it is determined that the received control data is abnormal, it is determined that the control of the control target by the control data cannot be continued,
When it is determined that the received control data is not abnormal, it is determined that the control of the control target by the control data can be continued,
The electronic control device according to claim 3.
請求項1に記載の電子制御装置。 The determination unit further determines, based on the detection result by the detection unit, whether or not the control of the control target by the received control data can be continued.
The electronic control device according to claim 1.
請求項1〜5のいずれか1項に記載の電子制御装置。 The electronic control device further includes a notification unit that notifies the outside of the abnormality of the control data when it is determined that the received control data is abnormal.
The electronic control device according to claim 1.
請求項1〜6のいずれか1項に記載の電子制御装置。 The detection unit detects that the network address of the sensor has been changed as an abnormality related to the first network,
The electronic control device according to claim 1.
請求項1〜6のいずれか1項に記載の電子制御装置。 The detection unit detects that the communication amount of the sensor data per unit time exceeds a threshold as an abnormality related to the first network,
The electronic control device according to claim 1.
請求項1〜6のいずれか1項に記載の電子制御装置。 The detection unit detects that the sensor data has been tampered with as an abnormality related to the first network,
The electronic control device according to claim 1.
請求項1〜6のいずれか1項に記載の電子制御装置。 The detection unit detects that the behavior of the sensor information indicated by the sensor data is abnormal, as the abnormality related to the first network,
The electronic control device according to claim 1.
請求項1〜10のいずれか1項に記載の電子制御装置。 The first network can communicate at a higher speed than the second network,
The electronic control device according to claim 1.
前記第2のネットワークは、CAN(Controller Area Network)である、
請求項11に記載の電子制御装置。 The first network is Ethernet (registered trademark) or FlexRay (registered trademark),
The second network is a CAN (Controller Area Network),
The electronic control device according to claim 11.
制御対象と接続された第2のネットワークと、
前記第1のネットワーク及び前記第2のネットワークと接続された電子制御装置と、を備え、
前記電子制御装置は、
前記センサからのセンサデータを前記第1のネットワークを介して受信し、前記センサデータに基づいて生成され且つ前記制御対象を制御するための制御データを前記第2のネットワークを介して受信する通信部と、
前記第1のネットワークに関する異常を検知する検知部と、
前記検知部が前記第1のネットワークに関する異常を検知した状態で、前記通信部が前記制御データを受信した場合に、受信された当該制御データが異常であるか否かを判定する判定部と、を有する、
電子制御システム。 A first network connected to the sensor,
A second network connected to the controlled object,
An electronic control device connected to the first network and the second network,
The electronic control unit,
A communication unit that receives sensor data from the sensor via the first network, and receives control data for controlling the controlled object, which is generated based on the sensor data, via the second network. When,
A detection unit that detects an abnormality related to the first network;
A determination unit that determines whether or not the received control data is abnormal when the communication unit receives the control data in a state in which the detection unit detects an abnormality related to the first network, Has,
Electronic control system.
前記センサデータに基づいて生成され且つ制御対象を制御するための制御データを、第2のネットワークを介して受信する処理と、
前記第1のネットワークに関する異常を検知する処理と、
前記第1のネットワークに関する異常を検知した状態で、前記制御データを受信した場合に、受信された当該制御データが異常であるか否かを判定する処理と、
をコンピュータに実行させるプログラム。 A process of receiving sensor data from the sensor via the first network,
A process of receiving, via a second network, control data generated based on the sensor data and for controlling a control target;
A process of detecting an abnormality relating to the first network;
A process of determining whether or not the received control data is abnormal when the control data is received in a state where an abnormality related to the first network is detected,
A program that causes a computer to execute.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018201906A JP2020068506A (en) | 2018-10-26 | 2018-10-26 | Electronic control device, electronic control system, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018201906A JP2020068506A (en) | 2018-10-26 | 2018-10-26 | Electronic control device, electronic control system, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2020068506A true JP2020068506A (en) | 2020-04-30 |
Family
ID=70388720
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018201906A Pending JP2020068506A (en) | 2018-10-26 | 2018-10-26 | Electronic control device, electronic control system, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2020068506A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114244747A (en) * | 2021-11-12 | 2022-03-25 | 潍柴动力股份有限公司 | Message health monitoring method and device and ECU (electronic control Unit) |
-
2018
- 2018-10-26 JP JP2018201906A patent/JP2020068506A/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114244747A (en) * | 2021-11-12 | 2022-03-25 | 潍柴动力股份有限公司 | Message health monitoring method and device and ECU (electronic control Unit) |
CN114244747B (en) * | 2021-11-12 | 2023-11-17 | 潍柴动力股份有限公司 | Message health monitoring method and device and ECU |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11190533B2 (en) | Anomaly detection electronic control unit, onboard network system, and anomaly detection method | |
JP7231559B2 (en) | Anomaly detection electronic control unit, in-vehicle network system and anomaly detection method | |
US11539727B2 (en) | Abnormality detection apparatus and abnormality detection method | |
US20200195472A1 (en) | Security device, network system, and fraud detection method | |
JP7071998B2 (en) | In-vehicle network abnormality detection system and in-vehicle network abnormality detection method | |
US11546363B2 (en) | Anomaly detection device, in-vehicle network system, and anomaly detection method | |
JP6578224B2 (en) | In-vehicle system, program and controller | |
US20190303567A1 (en) | Detecting data anomalies on a data interface using machine learning | |
RU2725033C2 (en) | System and method of creating rules | |
RU2706887C2 (en) | System and method for blocking computer attack on vehicle | |
KR102417904B1 (en) | Apparatus and method for controlling platooning | |
JP2020108132A (en) | Electronic control system, electronic control device, control method, and program | |
JP2019008618A (en) | Information processing apparatus, information processing method, and program | |
JP7130983B2 (en) | vehicle controller | |
WO2021111681A1 (en) | Information processing device, control method, and program | |
JP7255710B2 (en) | Attack monitoring center device and attack monitoring terminal device | |
KR101972457B1 (en) | Method and System for detecting hacking attack based on the CAN protocol | |
US20210258187A1 (en) | Electronic control device, electronic control method, and recording medium | |
JP2019075056A (en) | Vehicle security apparatus and security method | |
KR101791786B1 (en) | Vehicle security system and operation method | |
WO2019239798A1 (en) | Electronic control device and electronic control system | |
JP2020068506A (en) | Electronic control device, electronic control system, and program | |
JP6417984B2 (en) | In-vehicle communication system | |
JP7443832B2 (en) | security management device | |
JP7447905B2 (en) | Mobility control system, method, and program |